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(g) Verfahren und Vorrichtung zur Erfassung von Daten und deren Obermittlung in authentischer Form 

(§) Die vorliegende Erfindung betrifft die Erfassung und 
Obermittlung von Daten. Genauer betrifft die vorliegende 
Erfindung ein Datenerfassungsgerat, das Daten nach ih- 
rer Erfassung bzw. Eingabe an ein anderes Datenverarbei- 
tungsgerat in einer authentischen Form ubermitteln soil. 
Die authentische Form soil einen eindeutigen RQckschluf^ 
auf denjenigen Benutzer des Datenerfassungsge rates er- 
moglichen, der nach Durchfuhrung geeigneter Sicher- 
heits- bzw. KontrolImaSnahmen die Obermittlung der Da- 
ten freigegeben hat. Erganzend kann die authentische 
Form auch eine Oberi^rufungsmoglichkeit dafur eroffnen, 
ob die Daten bei der Obermittlung zu einem anderen Da- 
tenverarbeitungsgerat unbefugt manipuliert worden 
sind. AuRerdem betrifft die vorliegende Erfindung auch 
ein Verfahren zur Steuerung eines erfindungsgemaSen 
Datenerfassungsge rates, insbesondere auch in seinem 
Zusammenwirken mit einem anderen Datenverarbei- 
tungsgerat. 
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Beschreibung 

Hiniergrund der Erfindung 

Die vorliegende Erfindung betriJfl die Erfassung und 5 
Ubermitdung von Daien. Genauer betriffi die vorliegende 
Erfindung ein Datenerfassungsgerat, das Daten nach ihrer 
Erfassung bxw. Eingabe an ein anderes Daten verarbeilungs- 
gerat in einer authentischen Form ubermitteln soli. Die au- 
thenusche Form soil einen eindeudgen RiickschluB auf den- lO 
jenigen Benutzer des Datenerfassungsgerates ermoglichen, 
der nach Durchfiihrung geeigneier Sicherheits- bzw. Kon- 
irollmaBnahmen die Obennitdung der Daten freigegeben 
hat. Erganzend kann die authentische Form auch eine Ober- 
priifungsmoglichkeit dafur erofTnen, ob die Daten bei der 15 
Ubermittlung zu einem anderen Daienverarbeitungsgerat 
unbefugt manipuliert worden sind. AuBerdem betrifft die 
vorliegende Erfindung auch ein Verfahren zur Steuerung ei- 
nes erfindungsgemaBen Datenerfassungsgerates, insbeson- 
dere auch in seinem Zusammenwirken mil einem anderen 20 
Daienverarbeitungsgerat. 

Anwendungsgebiet der Erfindung 

Eine wichdge Anwendung von Datenverarbeitungsgera- 25 
ten bzw. Compulem ist die Ubermitdung von Daten an an- 
dere Computer, Zur Ubermittlung konnen zusammenge- 
schaltete Neizwerke wie lokale Netzwerke (LAN) bzw. 
weitraumige Netzwerke (WAN) wie z. B. das Internet ver- 
wendet werden. Inuner verbreiteter wird jedoch auch die 30 
mobile Datenkommunikadon. Die zu ubermittelnden Daten 
konnen direkt in ein Datenerfassungsgerat eingegeben bzw. 
von diesem erfaBl werden, sie konnen jedoch auch von ex- 
lemen Geraten wie z. B. Peripheriegeraten, Videokameras, 
Scannem und dergleichen erfaBt werden. 35 

Dabei soil haufig die Benutzung des Datenerfassungsge- 
rates nur hierzu berechdgten Benutzern moglich sein. Alter- 
nadv hierzu is I es jedoch haufig auch erforderlich, daB der 
andere Computer feststellen kann, von welchem Benutzer 
die Ubermittlung der Daten aulorisiert worden ist. Dies ist 40 
insbesondere dann erforderlich, wenn die zu ubermittelnden 
Daten zum AbschluB oder zur Durchfiihrung eines Geschaf- 
tes dienen und deshalb rechtsverbindlich sein soUen, oder 
wenn die Daten als Beweis dienen soUen. 

Ferner werden haufig Daten ubennittelt. die einem Zu- 45 
griff oder einer ManipuLadon durch unberechdgte Dritte 
nicht zuganglich sein sollen. Nur wenn der andere Computer 
ermitleln kann, daB die Daten wahrend der Ubemnitdung 
nicht manipuliert worden sind, ist die Authentizitat bzw. 
Glaubwiirdigkeit der Daten, die von dem anderen Computer 50 
empfangen werden, gewahrleistet. 

Stand der Technik 

tiblicherweise wird zu diesen Zwecken die Zugangsbe- 55 
rechdgung des Benutzers gepriifl und/oder die zu ubertra- 
genden Daten werden verschlusselt. 

Fig. 9 stellt einen Computer dar, wie er zur Datenerfas- 
sung und Dateniibermitdung im Stand der Technik verwen- 
det wird, wobei eine Zugangskontrolle vorgesehen ist, damit 60 
der Computer nur von hierzu Berechdgten genutzt werden 
kann. 

Dabei ist ein Computer (901) mil Monitor (902) und Ta- 
statur (903) dargestellt. Zur Ausfuhrung von Programman- 
weisungen dient eine Prozessorkarte (904). Daten, die iiber 65 
die Tastatur eingegeben oder von der Maus ausgewahlt wer- 
den, werden an die Prozessorkarte (904) ubermitlelt und von 
dicser an Anwendungsprogramme weilergereicht, die eben- 



falis auf dieser Prozessorkarte oder aber auf anderen P*C- 
Karien betrieben werden. 

Es sei der Fall betrachlel, daB der Computer mil einem an- 
deren Computer uber den Ubermittlungsweg (905) kommu- 
niziert. Damit die Ubermitdung der Daten nicht von hierzu 
Unberechdglen freigegeben bzw. autorisiert wird, kann ein 
ZtJgangskontrollsystem verwendet werden, wie z. B. ein 
Magnetstreifenleser (906), welcher auf einem auf einem 
Speichermedium (907) gespeicherte Daten abruft und diese 
ggf. mil weiteren benutzerspezifischen Daten, wie z. B. ei- 
nem Person lichen-IdendfizierNummer (PIN) oder einer 
TransAkdonsNummer (TAN) vergleicht. War die Ermitt- 
lung der Identitat des Benutzers erfolgreich, so wird die Be- 
nutzung des Computers fur den als hierzu berechdgt ermit- 
telten Benutzer freigegeben. 

^ Damit nun nicht der Daten verkehr auf dem Ubermitt- 
lungsweg (905) von unberechdglen Dritten belauscht und/ 
Oder manipuliert werden kann, werden tiblicherweise Ver- 
schlusselungsverfahren angewendet. Oblich sind symmetri- 
sche oder asymmetrische Verschliisselungs verfahren. Zur 
Verschlusselung der Daten wird haufig ein speziell ausgebil- 
deter Verschlusselungschip bzw. Kryplochip verwendet, der 
sich entweder direkt auf der Prozessorkarte (904) oder an ei- 
nem anderen Ort im Gehause des Computers befindet. 

In Kombi nation mil der oben beschriebenen Zugangskon- 
trolle kann der Computer in einer Normalbetriebsweise be- 
trieben werden, in welcher die Daten un verschlusselt uber- 
mitlelt werden, oder aber in einer Verschliisselungsbetriebs- 
weise, in welcher die Daten vor der Ubermitdung verschlus- 
selt werden. 

Fails eine Zugangskontrolle erfolgt, so wird bei her- 
kommlichen Systemen vereinbart, daB die tJbermittlung der 
Daten nur von dem hierzu Berechdgten autorisiert worden 
ist, Eine solche Vereinbarung ist fiir gewisse Belange der 
Datensicherheil ausreichend. 

Nachleile aus dem Stand der Technik 

Nachteilig an der beschriebenen Vorgehensweise ist zu- 
nachst, daS die Verschlusselung ublicherweise dynamisch 
ein- und ausgeschallet wird. Dies bedeulet, daB die zu uber- 
mittelnden Daten zu gewissen Zeitpunklen wahrend der be- 
schriebenen Vorgehensweise in unverschlUsselter Form vor- 
liegen und erst in einem abschlieBenden Schritt vor der 
tibermitdung verschlusselt werden. Dies bietel einen An- 
griffspunkt fiir ungevydnschle Manipulationen. Dies betrifft 
insbesondere diejenigen Daten. die ein Benutzer mil Hilfe 
eines Anwendungsprbgramms ggf. einschlieBlich einer Me- 
niiauswahl in ein Datenerfassungsgerat eingibt und die dann 
an einen angeschlossenen Computer zum Zwecke der tJber- 
mitdung an einen anderen Rechner weitergeleitet werden. 
Weil die Daten zu gewissen Zeitpunklen unverschlusselt 
vorliegen, wie z. B. wahrend der Ubertragung vom Datener- 
fassungsgerat zum Computer, konnen sie ohne groBeren vor- 
herigen Dechiffrieraufwand manipuliert werden. 

Solange nicht sichergeslelll ist, daB innerhalb des Daten- 
erfassungsgerates keine Manipulation der zu ubermittelnden 
Daten erfolgen kann, bzw. solange der Benutzer die zu uber- 
mittelnden Daten vor ihrer Ubermitdung nicht nochmals 
uberpruft, kann nicht gewahrleistet werden, daB diejenigen 
Daten, die der andere Rechner nach Obermitdung und ggf. 
nach deren Enischlusselung erhalt, auch wirklich die von 
dem Benutzer autorisierten Daten darstellen. 

Ein weiterer Grund fiir die bestehende Unsicherheit ist, 
daB das Datenerfassungsgerat an sich unsicher sein kann. 
Beispielsweise deshalb, well ein Unberechdgter die Hard- 
ware - von auBen uneinsehbar - manipulieren kann, oder 
wcil in die Software oder das Belriebssystem Viren, Wur- 
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mer oder sonstige Manipulationsmittel eingebracht werden 
konnen. 

Diese Unsicherheit wird dadurch erhoht, daB die Vernet- 
zung von Computern iiblich geworden ist. Haufig werden 
Computer untereinander nicht nur in lokalen Netzwerken 
(LAN) z. B. eines Untemehmens vemetzt sondem zuneh- 
mend verfiigen entweder die Arbeitsplatzrechner (clients) 
selbst Oder aber Server solcher Netze uber einen AnschluS 
an unsichere Netzwerke, wie z. B. dem Internet, Dies erofF- 
net prinzipiell die Moglichkeit, daB Unberechtigte entweder 
unmittelbar Daten in solchen Netzwerken manipuLieren 
konnen oder dadurch, daB Manipulationsmittel wie Viren 
Oder dergleichen in wichtige Program mteile eingebracht 
werden konnen, welche dann ihrerseits unberechtigte Mani- 
puladonen vornehmen. 

Nachteilig ist auBerdem, daB ein Nachweis dieser und 
ahnlicher Manipuladonen der Daten nach deren Ubermitt- 
lung bei bestehenden Systemen nicht moglich ist. Nachteilig 
ist insbesondere, daB ein sicherer Nachweis der Authendzi- 
tat bzw. Echtheit der Daten nicht gewahrleislel ist. 

Nachteilig ist auBerdem, daB Daten, die in Datenerfas- 
sungsgerate eingegeben und/oder von diesen erfaBt und/ 
Oder von diesen an andere Daten verarbeitungsgerate uber- 
mittelt werden, nicht als rechtsverbindliche Grundlage ziim 
AbschluB oder zur Durchfuhrung von Geschaften jedwel- 
cher Art verwendet werden konnen. 

Aufgaben der Erfindung 

Eine Aufgabe der vorliegenden Erfindung ist es, ein Ver- 
fahren zu fi nden, das es ermoglicht, Veranderungen bzw. 
Manipulationen von erfaBten und zu ubermittelnden Daten 
moglichst friihzeitig in ihrem Entstehungs- bzw. Kompositi- 
onsprozeB nachzuweisen. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, 
die Sicherheit bei der Erfassung, Eingabe und Ubermittlung 
von Daten zu erhohen. Eine weitere Aufgabe dieser Erfin- 
dung ist es, ein Verfahren zu finden, welches es ermoglicht, 
daB Daten, die in ein Datenerfassungsgerat eingegeben und/ 
oder von diesem erfaBt und/oder von diesem an andere Da- 
ten verarbeitungsgerate ubermittelt werden, moglichst ein- 
deutig der Person zugeordnet werden konnen, welche zur 
Benuizung des Datenerfassungsgerates berechdgt war und/ 
oder die tjbermitdung der Daten autorisiert hat. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, 
ein Datenerfassungsgerat vorzuschlagen, das zur Durchfiih- 
rung der vorgenannten Verfahren geeignet ausgelegt ist. Ins- 
besondere soli auch eine geeignete Vorgehensweise zur Er- 
fassung und/oder Eingabe und zur Obermittlung von Daten 
durch ein erfindungsgemaBes Datenerfassungsgerat gefun- 
den werden. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, 
daB Daten, die von einem Datenerfassungsgerat erfaBt, in 
dieses eingegeben und/oder von diesem an andere Daten ver- 
arbeitungsgerate ubermittelt worden sind, als rechtsverbind- 
liche Grundlage zum AbschluB, zur Durchfuhrung etc. von 
Geschaften verwendet werden konnen. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es 
zu ermoglichen, daB nur authentische Daten ein Datenerfas- 
sungsgerat verlassen. 

Losung der Aufgaben 

Die vorgenannten Aufgaben werden durch eine Vorrich- 
tung gemSS dem Hauptanspruch sowie den nebengeordne- 
ten Vorrichtungsanspruchen sowie durch ein System gemaB 
dem Nebenanspruch 26 gelost. Das erfindungsgemaBe Ver- 
fahren zur Losung der genannten Probleme ist in Nebenan- 
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. spruch 27 beansprucht. Weitere zweckmaBige Ausfuhrungs- 
formen des erfindungsgemaBen Verfahrens bzw. Datenerfas- 
sungsgerates zur Erfassung von Daten und deren Obermitt- 
lung in authentischer Form werden durch die Unieransprii- 
5 che definiert. 

Vorteile der Erfindung 

GemaB der Erfindung wird ein Datenerfassungsgerat vor- 

10 geschlagen, das nur aus einer Datenerfassungseinheit, aus 
einer Idendfikationseinheit, aus einer Datenverschlussel- 
ungseinheit und einer Dateniibermittlungseinheit besteht. 
Durch Reduzierung der Baugruppen auf ihr absolutes Minii- 
num wird die Anzahl von Schwachstellen oder moglichen 

15 Angriffspunkten fur eine Manipulation der erfaSten Daten 
reduziert, Vorzugsweise befinden sich diese Baugruppen in 
einem mechanisch stabilen und geschiitzten Gehause, so 
daB vorteilhafterweise eine Manipulation der Hardware des 
Datenerfassungsgerates unterbunden wird. 

20 Das erfindungsgemaBe Datenerfassungsgerat fiihrt nur 
solche Programmanweisungen aus, die sich auf einem Fest- 
wertspeicher bzw. ROM innerhalb des Gehauses des Daten- 
erfassungsgerates befinden. Weil dieses in seiner bevorzug- 
ten Aus fuhrungs form nicht uber einen eigenen Direkt-Zu- 

25 griffsspeicher bzw. RAM verfiigt, ist vorteilhafterweise eine 
Manipulation der Gerate-Software durch .Vuren, Wunner 
Oder sonstige Manipulationsmittel unterbunden. 

Eine weitere der Erfindung zugrundeliegende Idee ist, die 
erfaBten und zu ubermittelnden Daten so friih wie -moglich 

30 zu fixieren bzw. in eine audientische Datendarsteliung zu 
transformieren. Bei einer bevorzugten Ausfuhrungsform, 
wie z. B, bei der Eingabe von Daten in eine Computer tasta- 
tur, werden somit die Daten bereits innerhalb der-Tastatur 
verschliisselt, in eine authentische Darstellung transformiert 

35 und in dieser Darstellung an einen angeschlossenen Compu- 
. ter ubermittelt. Dies unterbindet vorteilhafterweise die 
Moglichkeit, daB die Daten wahrend ihrer Ubermittiung 
iiber das Verbindungskabel zwischen dem Datenerfassungs- 
gerat und einem andere Rechner, oder bei der bevorzugten 

40 Ausfuhrungsform zwischen der Computertastatur und dem 
Computer, belauscht und manipuliert werden. 

Sowohl das erfindungsgemaBie Verfahren als auch die er- 
findungsgemaBe Vonichtung verschlusseln die Daten vor 
ihrer Ubermittiung mit Hilfe eines iiblichen Verschlussel- 

45 ungsverfahrens, Hierbei konnen sowohl asymmetrische Ver- 
schlusselungsverfahren als auch symmetrische Verschlus- 
selungs verfahren verwendet werden. Indem zur Verschlus- 
selung benutzerspezifische Schliissel verwendet werden, ist 
vorteilhafterweise eine eindeutige Identifizierung des die 

50 Ubermittiung autorisierenden Benutzers moglich. \braus- 
setzung hierfiir ist, daB die Identitat bzw. Berechtiguhg des 
Benutzers hinreichend sorgfaltig uberpruft wird. Zur Identi- 
fikation des Benutzers werden bevorzugterweise biometri- 
sche Verfahren, PaBwortverfahren, Shared-Secret-Schemes 

55 verwendet, eine bevorzugte Ausfuhrungsform verwendet je- 
doch eine Chipkarte, die bevorzugterweise einen Kryptogra- 
phiechip beinhaltet, der zur Verschlusselung und Transfor- 
mation der Daten in eine authentische Darstellung verwen- 
det werden kann. Diese Identifikationsverfahren sind im Be- 

60 schreibungsteil genannt und beschrieben, aus dem Stand der 
Technik hinreichend bekannt und brauchen deshalb nicht 
eingehender erlautert werden. 

Symmetrische bzw. asynmieurische Verschlusselungs ver- 
fahren sind aus dem Stand der Technik hinreichend bekannt 

65 und brauchen deshalb nicht eingehender erlautert werden. 
GemaB der vorliegenden Erfindung wild die Integritat 
bzw. Unversehrtheit der iibermittelten Daten durch krypto- 
graphischer FWfwerte bzw. Siegel gewahrleistet, mit deren 
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Hilfe Modifikationen der ubermitteken Daten festgestellt 
werden konnen. Hierzu verwendet eine bevorzugte Ausfiih- 
rungsform digitale Signaturen unter Verwendung ublicher 
asymmetrischer Schlussel. Eine andere Ausfuhrungsform 
verwendet jedoch zu diesem Zwecke symmetrische Ver- 5 
schiusselungsverfahren. 

Bevorzugte Signaturverfahren sind die iiblichen Digital 
Signatur Algorithmen (DSA), El-Gamal-Signatur-Verfah- 
ren, Fiat-Shamir-Protokolle, RSA-Verfahren bzw. Rivest- 
Shamir-Adleman-Verfahren und Schnorr-Verfahren. Bei IQ 
Verwendung symmetrischer Verschlusselungsverfahren be- 
dient sich die erfindungsgemaBe Ausfiihrungsform bevor- 
zugt einem Blockchiffre- Verfahren im CBC- Modus oder im 
CFB-Modus. Diese Verfahren, Methoden und ProtokoUe 
sind aus dem Stand der Technik hinreichend bekannt und 15 
brauchen deshalb nicht eingehender erlautert werden. 

In einem bevorzugten Verfahren werden zunnindest die 
verwendeten Schlussel von einer sicheren Behorde bzw. se- 
cure-key- issuing-authority (SKIA) vergeben, 

Aufgrund der Verwendung solcher Verschlusselungs- und 20 
Signaturverfahren ist deni Empfanger von Daten vorteilhaf- 
terweise der Nachweis einer unberechtigten Manipulation 
der ubermittelten Daten moglich. 

Weil die bevorzugte Ausfiihrungsform der Erfindung - je 
nach den einzuhaltenden Sicherheitsstandards - mehr oder 25 
weniger aufwendige Priifschritte ausfuhrt, bei dem die Iden- 
titat und/oder Berechtigung des Benutzers uberpruft wird, 
ist in Verbindung nnit den oben genannten Verschlusselungs- 
verfahren und/oder digitalen Signaturverfahren ein vorteil- 
haft hoher Sicherheitsstandard bei der tJbermittlung von 30 
Daten gewahrleistet. Durch die besondere Ausbildung des 
erfindungsgemaBen Datenerfassungsgerates ist vorteilhaf- 
terweise eine hohe Sicherheit bei der Datenerfassung sicher- 
gestellt. 

Indem die Daten mit Hilfe eines benutzerspezifischen 35 
Schliissels verschliisselt und/oder mit einer digitalen Signa- 
tur versehen werden, und die Daten somit in einer bevorzug- 
ten Ausfuhrungsform nur in einer authentischen Darstellung 
ubermittelt werden, konnen die ubermittelten Daten vom 
Empfanger vorteilhafterweise als.rechtsverbindliche Daten 40 
zur Tatigung irgendeiner Art von Geschaften verwendet 
werden. Unter einer authentischen Datendarstellung sei im 
folgenden stets eine Datendarstellung verstanden, die es ei- 
nem anderen Rechner ermoglicht festzustellen, von wel- 
chem Benutzer die ubermittelten Daten zur Ubermitdung 45 
autorisiert worden sind. 

Die vorliegende Erfindung wird genauer mit Hilfe der fol- 
genden ausfiihrlichen Beschreibung und Bezugnahme auf 
die beigefCigten Hguren verstanden werden. Dabei werden 
weitere Aufgaben und Vorteile sowie Merkmale ersichtlich. 50 
Die beigefiigten Figuren, auf die in der Beschreibung Bezug 
genommen wird, stelLen einige bevorzugte Ausfiihrungsfor- 
men der Erfindung dar. Weder die Beschreibung noch die Fi- 
guren sind jedoch nicht dahingehend auszulegen, daB die 
Erfindung auf diese spezifischen Ausfiihrungsformen be- 55 
grenzt ware. 

Figureniibersicht 

Fig. 1 zeigt eine erste Ausfuhrungsform des Datenerfas- 60 
sungsgerates der vorliegenden Erfindung, welches die Daten 
direkt an einen anderen Rechner ubermittelt. 

Fig. 2 zeigt eine weitere Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das eine Einheit zur 
Handhabung einer Chipkarte mit integriertem Kryptochip 65 
umfaBt. 

Fig. 3 ist ein RuBdiagramm und zeigt eine einfache Be- 
triebsweise des erfindungsgemaBen Datenerfassungsgera- 



tes, 

Fig. 4 stellt ein Zustandsiibergangsdiagramm des erfin- 
dungsgemaBen Datenerfassungsgerates dar. 

Fig. 5 zeigt eine bevorzugte Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das mit einem 
Computer verbunden ist, uber den die Obermittlung an den 
anderen Rechner erfolgt. 

Fig. 6 ist ein zu einer bevorzugten Ausfuhrungsform ge- 
maB Fig. 5 zugehoriges FluBdiagramm. 

Fig. 7 zeigt eine weitere Ausfuhrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates, das eine Riick- 
kopplung zwischen dem angeschlossenen Computer und 
dem Datenerfassungsgerat ermoglicht. 

Fig. 8 ist ein zur Ausfuhrungsform gemaB Fig. 7 zugeho- 
riges FluBdiagrarmn; und 

Fig. 9 stellt einen Computer dar, wie er zur Datenerfas- 
sung- und Ubennittlung im Stand der Technik verwendet 
wird, wobei eine ZugangskontroUe vorgesehen ist, damit 
der Computer nur von hierzu Berechtigten genutzt werden 
kann. 

Spezieller Beschreibungsteil . 

Fig. 1 zeigt eine erste Ausfuhrungsform eines Datenerfas- 
sungsgerates gemaB der vorliegenden Erfindung. In seiner 
einfachsten Grundforhi umfaBt dieses Datenerfassungsgerat 
eine Datenerfassungseinheit (101), eine erste Identifikati- 
onseinheit (102), eine Daten verschliisselung sei nheit (103) 
und eine Dateniibermitdungseinheit (104), welche die Daten 
an einen anderen Rechner (AR, 106) ubermittelt. 

Um die. Sicherheit zu erhohen, werden gemaB der Erfin- 
dung mdglichst alle wesentlichen Komponenten des Daten- 
erfassungsgerates in einem mechanisch stabilen und gesi- 
cherten Gehause untergebracht. Um die Sicherheit gegen 
Viren und andere Datenmanipulationsmittel zu gewahrlei- 
sten, fuhrt das erfindungsgemaBe Datenerfassungsgerat vor- 
zugsweise nur Program man weisungen aus, die sich auf ei- 
nem Festwertspeicher (ROM) innerhalb des Gehauses befin- 
den. Indem das Datenerfassungsgerat vorzugsweise uber 
keinen eigenen Schreib-Lese-Speicher (RAM) verfiigt, kon- 
nen sich Manipulationsmittel zur Manipuladon der Pro- 
grammanweisungen nicht im Datenerfassungsgerat bzw. in 
dessen Prozessor festsetzen, um so dessen Ausfuhrungen zu 
manipulieren. 

Zur Datenerfassung dient die Datenerfassungseinheit 
(101). Hierbei handelt es sich bei einer Ausfuhrungsform 
um eine herkonrunliche Dateneingabetastatur. Um die Lei- 
stungsfahigkeit des Datenerfassungsgerates jedoch zu erho- 
hen, konnen erfindungsgemSB auch komplexere Datenein- 
gabe- und Datenerfassungs verfahren eingesetzt werden, wie 
etwa die Erfassung bewegter Bilder oder Standbilder mit 
Hilfe einer Videokamera, die Abtastung von Dokumenten 
mit Hilfe eines Scanners, wobei die erfaBte opdsche Infor- 
mation zusatzlich auch mit Hilfe von Filterung bzw. opti- 
schen Buchstabenericennungs verfahren (CXJR) vorverarbei- 
tet werden kann, oder die Erfassung akustischer Informado- 
nen einschlieBlich von Spracherkennungssystemen, um den 
Informationsgehalt der erfaBten Daten zu reduzieren. Damit 
die Datensicherheit jedoch gewShrleistet ist, werden die 
Programman weisungen bevorzugt auf einem Festwertspei- 
cher (ROM) abgespeichert, der sich innerhalb des Gehauses 
des Datenerfassungsgerates (100) befindet. 

Zum Zwecke der Datenerfassung kann auch ein entspre- 
chend ausgelegtes Peripheriegerat (PG, 107) an das Daten- 
erfassungsgerat angeschlossen werden. 

Zur Verschliisselung und Trans formadon der Daten in 
eine authendsche Datendarstellung verwendet die in Fig. 1 
abgebildete Ausfuhrungsform einen Datenprozessor, der 
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spezielle kryptographische Programmanweisungen abarbei- 
tet. Dieser Datenprozessor kann jedoch auch ein handelsub- 
licher speziell ausgebildeter Kryptographieprozessor sein. 
was Rechenzeit spart und somit die Dateniibermittlungsrate 
erhoht. 5 

Nach Verschlusselung der Daten im Kryptographiepro- 
zessor (103) werden die Daten mil Hilfe einer ublichen Da- 
tenubermitUungseinheii linler Verwendung ublicher Daten- 
iibemnittlungsprolokolle an den anderen Rechner ubermit- 
telt. 10 

Um die Identitat des Benutzers zu ermitteln, verfugt das 
Datenerfassungsgerat uber eine erste Idendfikationseinheit 
(102), bei der es sich bevorzugt, wie in Fig. 1 abgebildet, um 
ein Gerat zur Handhabunjg von handelsiiblichen Smart 
Cards bzw. Chipkarten (108) handelt. Solche Chipkarten. 15 
die aus dem Stand der Technik hinreichend bekannl sind, 
verfiigen zumindest uber einen integrierten Festwertspei- 
cher (109), in den meisten Fallen jedoch auch uber eifien 
Prozessor (109), so daB die Abarbeitung einfacher Pro- 
granunanweisungen auch unmittelbar durch die Chipkarte 20 
erfolgen kann, wobei sich die hierzu benotigten Programm- 
anweisungen entweder im ROM des Datenerfassungsgera- 
tes Oder aber bevorzugt im Festwertspeicher (109) der Chip- 
karte (108) selbst befinden. 

In anderen Anwendungen, in denen beispielsweise die 25 
Bilddaten einer (Jberwachungs-Videokamera oder eines 
eingescarinten Textdokumentes in authendscher Form uber- 
mittelt werden sollen, geniigt jedoch haufig auch eine einfa- 
che Tastatur, iiber die ein Benutzerkennwort, Codierschlus- 
sel und dergleichen auf Anforderung durch die Idendfikad- 30 
onseinheit eingegeben werden kann. Auch die oben genann- . 
ten Datenerfassungsmethoden konnen einzeln oder in Kom- 
bination zur Ermittlung der Benutzeridendtat verwendet 
werden. Der beuiebene Aufwand zur Ermitdung der Benut- 
zeridendtat ist abhangig vom dem Sicherheitsstandard, den 35 
das System gewahrleisten soli. 

Zur Darstellung von eingegebenen bzw. erfaBten Daten 
verfugt des Datenerfassungsgerat uber eine Darstellungsein- 
richtung (110), die bevorzugt als ein LCD-Bildschirm aus- 
gebildet ist, oder aber als beriihrungsempfindlicher Bild- 40 
schirm. so daB die Verwendung einer zusatzlichen Tastatur 
als Datenerfassungseinheit nicht erforderlich ist. 

Die Dateniibermitdung mit dem anderen Rechner (AR, 
106) erfolgt in einer Einwegsbetriebsweise (111) oder in ei- 
ner Zweiwegbetriebsweise (112) uber eine Daten leitung, die 45 
Teil eines Computemetzwerks wie etwa einem lokalen 
Netzwerk (LAN) oder einem weitraumigen Netzwerk 
(WAN) Oder des Internets ist. Dabei kommen ubliche Daten- 
transferprotokolle zum Einsatz, wie etwa Ediernet, Local 
Talk. FTP (file transfer protocol) oder dergleichen, die aus 50 
dem Stand der Technik hinreichend bekannt sind und des- 
halb hier nicht eingehend erlautert zu werden brauchen. Die 
Datenubermitdung erfolgt bei einer anderen Ausfuhrungs- 
form uber drahtlose Telekommunikadon in einem ublichen 
Datenformat erfolgen, Eine weitere vorgesehene Art der Da- 55 
teniibermitdung ist die Speicherung der Daten auf einem 
magnedschen oder opdschen Datenspeichermedium und die 
LFbergabe dieses Datenspeichermediums an den anderen 
Rechner. 

Fig. 2 zeigt eine weitere Ausfuhrungsform des erfin- 60 
dungsgemSBen Datenerfassungsgerates, das eine Einheit zur 
Handhabung einer Chipkarte mit integriertem Kryptochip 
umfafit 

Sofem diese Figur die gleichen Bezugszeichen wie in 
Fig. 1 enthalt, sind damit auch die gleichen Einheiten ge- 65 
meint Im Gegensaiz zur Ausfuhrungsform gemaB Fig. 1 
enthalt dieses Datenerfassungsgerat jedoch keinen eigenen 
Krypto- bzw. Verschlusselungsprozessor. 
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Zur Verschlusselung dient vielmehr die von einem Benut- 
zer einzufuhrende Chipkarte (208), die neben einem Fest- 
wertspeicher (ROM), der benutzerspezifische Daten enthalt, 
auch einen Verschlusselungsprozessor (209) umfaBt. Zu- 
satzlich kann sich auf dieser Chipkarte auch ein gewohnli- 
cher Prozessor zur Durchftihrung des unten beschriebenen 
erfindungsgemaBen Verfahrens befinden. 

Alle Daten, die von der Datenerfassungseinheit bzw. von 
dem Peripheriegerat (PG) erfaBt worden sind, werden iiber 
einen zentralen Bus (213) an den Prozessor bzw. den Ver- 
schlusselungsprozessor der Chipkarte iibermittelt. Nach 
Verschlusselung bzw. Transformadon in eine authendsche 
Darstellung gelangen die Daten zur Ubermittlungseinheit, 
die diese dann wie vorgenannt beschrieben an den anderen 
Rechner ubermittelt. 

Fig. 3 Hi ein FluBdiagramm und zeigt eine einfache Be- 
triebsweise des erfindungsgemaBen Datenerfassungsgera- 
tes. 

Vor Eingabe bzw. Erfassung der Daten oder zumindest 
vor deren Ubermitdung an den an das Datenerfassungsgerat 
angeschlossenen Computer erfolgt die Oberpriifung (302) 
der Idendtat des Benutzers. 

Je nach dem Informadonsgehalt der dem Datenerfas- 
sungsgerat zur Verfugung stehenden benutzerspezifischen 
Daten konnen hierbei verse hiedene Vorgehensweisen vorge- 
nommen werden. 

Bei einer Ausfuhrungsform, der keine oder nur sehr ein- 
geschrankl benutzerspezifische Vergleichs- bzw. Rfeferenz- 
daten zur Verfugung stehen, wird dem Datenerfassungsgerat 
von dem anderen Rechner ein fester offendicher Schlussel 
zur Verfugung gestellt, sobald das Datenerfassungsgerat 
feststellt, daB ein Benutzer die Obermitdung von Daten an- 
fordert. AnschlieBend fordert- das- Datenerfassungsgerat 
den Benutzer auf, Idendfikadonsdaten einzugeben. Dabei 
kann es sich im einfachsten Fall um personenspezifische 
Ideridfikadonsnummem (PIN) und/oder Transakdonsaku- 
onsnummern (TAN) oder andere alphanumerische Zeichen- 
folgen handeln, die iiber eine Datentastatur bzw. iiber die 
Datenerfassungseinheit des Datenerfassungsgerates einzu- 
geben sind. 

Fiir hohere Sicherheitsanforderungen ist jedoch ein gro- 
Berer Informadonsgehalt der Idendfikadonsdaten von Vor- 
teil. Hierzu wird in einer bevorzugten Ausfuhrungsform der 
vorliegenden Erfindiing eine Chipkarte verwendet, deren 
benutzerspezifischen Daten mit vom Benutzer einzugeben- 
den alphanumerisch'en Zeichenkombinadonen veig lichen 
werden. 

Bei einer weiteren bevorzugten Ausfuhrungsform werden 
zusatzlich als Idendfikationsdaten biometrische Daten er- 
faBt, die von korperlichen Merkmalen und/oder Eigenschaf- 
ten des Benutzers abgeleitet werden. Hierbei handelt es sich 
um einen oder mehrere Fingerabdriicke, der bzw. die von ei- 
nem Fingerprintscanner erfaBt werden, oder um einen Scan- 
ner zum Abtasten der Netzhaut bzw. des Augenhintergrun- 
des des Benutzers, oder um einen Sprachanalysator, der ein 
Sprachprofil des Benutzers ermittelt. Durch Vergleich dieser 
biometrischen Daten mit benutzerspezifischen Daten kann 
die Idendtat des Benutzers sehr zuverlassig ermittelt wer- 
den. Dieser Vergleich kann sowohl im Datenerfassungsgerat 
selbst bzw. seinem Chipkartenlesegerat erfolgen oder aber 
im anderen Rechner. Im letztgenannten Fall miissen die er- 
faBten Idendfikadonsdaten bzw. die biometrischen Daten 
mit Hilfe des Gffendichen Schlussels verschlusselt und an 
den anderen Rechner iibermittelt werden. 

Der andere Rechner entschliisselt die ankommenden Da- 
ten mit Hilfe des zugehorigen geheimen Schlussels und 
nimmt den Vergleich der ankommenden Idendfikadonsda- 
ten mit benutzerspezifischen Refererizdaten, die etwa einer 
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Datenbank entnommen werden, vor. Nach erfolgreichem 
Vergleich geht das Datenerfassungsgerat in seinen authenti- 
schen Betriebszustand uber. In diesem Betriebszustand wer- 
den alle Daien, die das Datenerfassungsgerat verlassen, nur 
in verschlQsselter Form und nach digitaler Unterschrift 5 
ubermiltelt (304, 305). Optional kann uberpruft werden, ob 
eine Betriebsstorung vorliegt (305), woraufhin das Datener- 
fassungsgerat in seinen Klartext-Betriebszustand zuriick- 
kehrt, in dem die Daten nur unverschliisselt ubermittelt wer- 
den (303), 10 

Zur Verse hlCisse lung der Daten muB dem Datenerfas- 
sungsgerat vom anderen Rechner ein benutzerspezifischer 
offentlicher Schlussel ubergeben werden. Alle zu iibermit- 
telnden Daten werden mit diesem Schlussel verschlusselt 
und mit einer digitalen Unterschrift versehen. 15 

Somit konnen die ubertragenen Daten eindeutig einem 
berechtigten Benutzer zugeordnet werden, und weil die Da- 
ten vor der Ubermitdung mit einer digitalen Unterschrift 
versehen worden sind, kann eine unberechtigte Manipula- 
tion der Daten wahrend der (jbermittlung zum anderen 20 
Rechner entdeckt werden. 

In einer anderen bevorzugten Ausfiihrungsform stehen 
dem Datenerfassungsgerat zur (jberprufung der Benutzeri- 
denlitat umfangreichere benutzerspezifische Referenzdaten 
zur Verfiigung, etwa deswegen, weil der Benutzer vor Erf as- 25 
sung weiterer Identifikationsdaten eine Chipkarte . in das 
Chipkartenlesegerat des Datenerfassungsgerates einfiihren 
muB. Die im ROM der Chipkarte abgespeicherten benutzer- 
spezifischen Daten lassen einen "zeroknowledge" Beweis 
der Benutzeridentitat zu, also einen Beweis, zu dem das Da- 30 
tenerfassungsgerat nicht noch zusatzliche benutzerspezifi- 
sche Referenzdaten benotigt, die ihm etwa von dem anderen 
Rechner zur Verfiigung gestellt werden miissen. Zur Uber- 
priifung der Benutzeridendtat werden die erfaBten Idendfi- 
kationsdaten und die benutzerspezifischen Referenzdaten 35 
unmittelbar vom Chipkartenlesegerat oder aber im Prozes- 
sor der Chipkarte miteinander verglichen. 

1st diese Oberpriifung erfolgreich, so wird der Verschlus- 
selungseinheit (304) des Datenerfassungsgerates gemaB 
Fig, 1 der benutzerspezifische offentliche SchliisseL (PK) 40 
ubergeben. Bei einem Datenerfassungsgerat gemaB Fig* 2 
braucht der offentliche Schlussel solange nicht an weitere 
Einheiten des Daten verarbeitungsgerates weitergereicht 
werden, solange dieses nur in einer Einweg-Betriebsweise 
betrieben wird, in der das Datenerfassungsgerat Daten, die 45 
in dem Kryptochip der Chipkarte verschlusselt werden, nur 
an den anderen Rechner ubermittelt. Dadurch wird die Si- 
cherheit des Datenerfassungsgerates zusatzlich erhoht. 

Soil das Datenerfassungsgerat jedoch zusatzlich auch in 
einer Zweiweg-Betriebsweise betrieben werden, in der das 50 
Datenerfassungsgerat mit dem benutzerspezifischen gehei- 
men Schlussel verse hlusselte Anweisungen oder Daten von 
dem anderen Rechner verwerten soil, so muB der Ver- bzw. 
Entschlusselungseinheit des Datenerfassungsgerates der be- 
nutzerspezifische offentliche Schlussel, der sich auf der 55 
Chipkarte befindet, ubergeben werden. 

War die Oberpriifung der Benutzeridentitat in Schritt 302 
nicht erfolgreich, so bleibt das Datenerfassungsgerat im 
Klariext-Beuiebszustand, so daB die (jbermittlung der Da- 
ten sowohl an den anderen Rechner nur unverschliisselt er- 60 
folgt 

Fig, 4 stellt ein Zustandsiibergangsdiagranrun des erfin- 
dungsgema&en Datenerfassungsgerates dar. Hierbei sei das 
Beispiel betrachtet, daB ein Bankkunde Daten zu einem 
Rechner Ubermitteln will. Unter Rechner sei in diesem Bei- 65 
spiel der Zugangsrechner einer Bank verstanden, der mit 
dem erfindungsgemaBen Datenerfassungsgerat iiber eine 
Datenleitung in Verbindung stehe. Bei dem Datenerfas- 
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sungsgerat konnte es sich um einen Bankautomaten oder ein 
System zur Durchfiihrung von Telebanking handeln. 

Das hierzu verwendete erfindungsgemaBe Datenerfas- 
sungsgerat verfuge als Datenerfassungseinheit iiber eine iib- 
liche Tastatur und als erste Identifikationseinheit iiber einen 
Chipkartenleser. Hinzu komme ein Bildschirm zur Darstel- 
lung der Daten, bei denen es sich in diesem Beispiel um ein- 
fache alphanumerische 2^ichen, wie etwa Kundenname, 
Bankkontonummer oder Bankleitzahl handeit. Der Bank- 
kunde verfiige iiber eine Chipkarte, die zumindest benutzer- 
spezifische Daten enthalt, damit das Chipkartenlesegerat ei- 
nen zero-knowledge Beweis der Benutzeridendtat durch- 
fiihren kann. Die Chipkarte kann zusatzlich auch den priva- 
ten Schliissel (SK) und/oder den offentlichen Schliissel (PK) 
endialten, die als Grundlage fiir ein asymmetrisches Ver- 
schliisselungsverfahren verwendet werden kdnnen. 

Solange der Kunde die Chipkarte nicht eingefiihrt hat 
(401), erfolgt die tJbermitdung der vom Kunden eingegebe- 
nen Daten vom Datenerfassungsgerat zum anderen Rechner 
unverschliisselt (402), wie durch die Schleife bei (402) an- 
gedeutet. Dieser Daten verkehr kann ohne Probleme von Un- 
befugten belauscht und zu dessen Vorteil manipuliert wer- 
den. Legt der Benutzer nun die Karte ein (403), so erfolgt 
zunachst die Oberpriifung der Benutzeridentitat (404) und 
ggf. auch die Uberpriifung der Giiltigkeit der Chipkarte. Bei 
negativem Ergebnis dieses Uberpriifung (405) erfolgt der 
Auswurf der Karte und das Datenerfassungsgerat nimmt 
wieder seinen Klartext-Betrieb auf. 

Bei positivem Ergebnis der Oberpriifung geht das Daten- 
erfassungsgerat in den authentischen Betrieb iiber (407), in 
dem alle das Datenerfassungsgerat verlassenden Daten nur 
in einer authendschen Datendarstellung iibermittelt werden. 
Weil anhand der authentischen Daten vom anderen Rechner 
festgestellt werden kann, ob die Daten wahrend der Ober- 
mitdung manipuliert worden sind, konnen die so iibermittel- 
ten Daten als echt betrachtet werden. 

Falls das Datenerfassungsgerat unmittelbar mit dem Zu- 
gangsrechner der Bank kommuniziert, so benodgt das Da- 
tenerfassungsgerat zur Verschliisselung einen offentlichen 
Schliissel (PK). Dieser kann dem Datenerfassungsgerat von 
der Chipkarte zur Verfugung gestellt werden. Er kann dem 
Datenerfassungsgerat jedoch auch von dem Bankrechner 
zur Verfugung gestellt werden, nachdem dieser von der po- 
sitiven Oberpriifung der Benutzeridentitat informiert wor- 
den ist. 

Solange keine Beunebsstorung erfolgt, werden die Daten 
nur in authentischer Form an den Rechner ubermittelt. Er- 
folgt jedoch eine Betriebsstorung (409), wie etwa eine Un- 
terbrechung der Kommunikadon, oder beendet der Bank- 
kunde die Kommunikation, so erfolgt der Auswurf der 
Chipkarte und der Rechner kehrt wieder in seine Klartext- 
Betriebsweise zuriick. 

Fig, 5 zeigt eine bevorzugte Ausfiihrungsform des erfin- 
dungsgemaBen Datenerfassungsgerates. 

Haufig ist es bei sensiblen Daten erforderlich, daB Daten, 
die ein Benutzer iiber eine Tastatur eingibt oder die in einer 
der oben genannten Weisen von einer Datenerfassungsein- 
heit erfaBt wurden, iiber einen Computer an einen anderen 
Rechner iibermittelt werden soUen. Eine typische Anwen- 
dung konnte die Tadgung einer Uberweisung vom PC eines 
Bankkunden aus sein, der iiber eine Daten verbindung wie 
z. B. dem Internet mil dem Zugangsrechner einer Bank ver- 
bunden ist. Eine weitere bevorzugte Anwendung ist die au- 
thentische ObennitUung von Bild und/oder Tondaten von ei- 
nem PC bzw. client innerhalb eines Computemetzwerks zu 
einem anderen PC, der ein client oder ein server sein kann. 
Dieses Computernetzwerk konnte das Internet sein oder 
aber ein Intranet eines Untemehmens. 
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Bei sensibien Daten solUe es dem anderen Rechner mog- 
lich sein zu ermilteln, a) von welchem Benulzer des Compu- 
ters die Dalenubermitdung autorisiert worden ist und/oder 
b) ob die Daten wahrend der Ubermitilung manipuliert wor- 
den sind. Hierzu isl eine Obermittlung der Daten in einem 
authentischen Formal erforderlich. 

Weil jedoch der Computer (500) iiber das Netz (504) von 
auBen her zuganglich ist und Uber einen manipulierbaren 
Speicherbereich verfugt, konnte der Benutzer des Compu- 
ters die Obermittlung von Daten A autorisieren und diese 
noch innerhalb des Computers in Daten B von einem Virus 
Oder dergleichen umgewandelt werden, ohne daB der Benut- 
zer dies bemerkt. Dieses Problem laBt sich durch ein erfin- 
dungsgemaBe Datenerfassungsgerat beheben, das an den 
unsicheren Computer angeschlossen ist. 

Hierzu ist bei der in Fig. 5 gezeigten Ausfiihrungsform 
ein Datenerfassungsgerat (100; 200) vorgesehen, welches 
als erste Idendfikationseinheit iiber einen Chipkartenleser 
und als zweite Idendfikadonseinheit iiber einen Finger- 
printscanner verfugt. Das Datenerfassungsgerat besitzt ei- 
nen Bus (502) zur Kommunikadon mit dem Computer (500) 
und optional auch uber einen DateneingangsanschluB zur 
Entgegennahme von Daten eines Peripheriegerates (PG). 

Die Obermittlung der Daten erfolgt sowohl iiber den Bus 
(502) als auch iiber das Netz (504) in authendscher Daten- 
darstellung. Zur Verschlusselung und Entschliisselung im 
Datenerfassungsgerat dient entweder der Kry ptographiechip 
auf der von dem Benutzer einzufuhrenden Chipkarte oder 
aber eine Verschlusselungseinheit. Auch der Computer und 
der Rechner benoUgen eine Ver- und Entschlusselungsein- 
heit (503; 505), die sich auf einer Einschubkarte befinden 
kann oder aber bevorzugt in einem spezieUen Kryptogra- 
phiechip. 

Fig, 6 ist eiri zu einer bevorzugten Ausfiihrungsform ge- 
maS Fig. 5 zugehoriges FluBdiagramm. 

Vor Eingabe bzw. Erfassung der Daten oder zumindest 
vor deren Obermittlung ah den an das Datenerfassungsgerat 
angeschlossenen Computer erfolgt die Oberpriifung (602) 
der Identitat des Benutzers. Ist diese Oberpriifung erfolg- 
reich, so wird der Verschliisselungseinheit (503) des Com- 
puters der benutzerspezifische offendiche Schliissel (PK) 
iibergeben, Dieser befindet sich entweder auf dem Festwert- 
speicher (ROM) der Chipkarte oder wird der Verschliissel- 
ungseinheit von dem anderen Rechner zur Verfiigung ge- 
stellt. Falls die Verschliisselung der Daten in der Verschliis- 
selungseinheit des Datenerfassungsgerates erfolgt, so wird 
ihr hierzu der geheime Schlussel (SK) iibergeben, der sich 
auf dem ROM der Chipkarte befindet Falls die Verschliisse- 
lung der Daten hingegen - wie in der Ausfiihrungsform ge- 
maB Fig. 2 - auf dem Kryptochip der Chipkarte erfolgt, so 
benodgt das Datenerfassungsgerat den geheimen Schlussel 
(SK) nur dann, wenn es Daten, die von dem Computer zum 
Datenerfassungsgerat in verschliisselter Form iibermittelt 
werden, wieder entschliisseln muB. 

AnschlieBend werden die Daten mit Hilfe des geheimen 
Schlussel (SK) im Datenerfassungsgerat verschliisselt, mit 
einer digitalen Unterschrift versehen (604) und an den Com- 
puter iibermittelt (605). Falls ein Anwendungsprogramm, 
das auf dem Computer des Benutzers betrieben wird, die 
Daten weiterverarbeiten soli (Oberpriifung in Schritt 606), 
so erfolgt zunachst die EntschlQsselung der Daten (607) mit 
Hilfe des offendichen Schliissels. Nach der Weiterverarbei- 
tung der Daten (608) werden die Daten emeut mit Hilfe des 
offentlichen Schliissels verschliisselt und mit einer digitalen 
Unterschrift versehen (609). Vor der ObermitUung der Da- 
ten (610) an den anderen Rechner kann opdonal eine Ab- 
frage erfolgen, ob eine Betriebsstorung vorliegt, wie etwa 
eine Stdrung auf der Obertragungsleitung oder ein Fehler im 
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Chipkartenlesegerat. Sollte eine Betriebsstorung vorliegen, 
so erfolgt entweder - wie im allgemeinen Zustandsuber- 
gangsdiagramm in Fig. 4 dargestellt - ein volliger Abbruch 
der Datenubermitdung oder aber eine Obermitdung der Da- 
5 ten in unverschlusselter Form (613). 

War hingegen die Oberpriifiing der Benutzeridendtat in 
Schritt 602 nicht erfolgreich, so bleibt das Datenerfassungs- 
gerat im Klarlext-Betriebszustand, so daB die Obermitdung 
der Daten sowohl an den Computer (612) als auch an den 

10 anderen Rechner (613) un verschliisselt erfolgt. 

Fig. 7 zeigt eine weitere Ausfiihrungsform des erfin- 
dungsgemafien Datenerfassungsgerates, das eine Riick- 
kopplung zwischen dem angeschlossenen Computer und 
dem Datenerfassungsgerat ermoglicht. Diese Riickkop^lung 

15 gewahrleistei, daB der Benutzer die Daten vor Ihrer Ober- 
mitdung von dem Computer zu dem anderen Rechner auf ei- 
nem Bildschirm des Datenerfassungsgerats nochmals iiber- 
priifen kann. Summen diese Daten mit denjenigen Daten 
uberein, die von dem Datenerfassungsgerat oder einem Peri- 

20 pheriegerat (PG) erfaBt, von dem Benutzer eingegeben oder 
von diesem in einem Anwendungsprogranmi ausgewahlt 
worden sind, so autorisiert der Benutzer die Obermitdung 
der Daten, Weil das Datenerfassungsgerat sicher ist und eine 
nachtragliche Manipulation der mit einer digitalen Unter- 

25 schrift versehenen authendschen Daten moglich ist, ist si- 
chergestellt, daB die am anderen Rechner ankonmienden 
Daten vom Benutzer abgesendet worden sind. Diese Daten 
konnen von dem anderen Rechner somit als rechtsverbindli- 
che Grundlage fiir die Tatigung von Rechtsgeschaften ver- 

30 wendet werden. 

Die in Fig. 7 angefiihrten Bezugszeichen, die mir denjeni- 
gen aus Fig, 5 ubereinsdmmen, wurden bereits im'Zusam- 
menharig mit Fig. 5 erlautert. Zusatzlich verfugt das Daten- 
erfassungsgerat dieser weiteren Ausfiihrungsform iiber eine 

35 Datendarstellungseinheit (711), die vorzugsweise ein LCD- 
. Bildschirm oder ein beriihrungsempftndlicher bzw. Touch- 
Screen ist. Die Daten werden zum Zwecke der Autorisie- 
rung ihrer Obermittlung von dem Computer (500) zu dem 
Datenerfassungsgerat (100; 200) uber eine Verbindung 

40 (710) eben falls in authendscher Form zurtickiibermittelt. 
Verbindung 710 kann mit Verbindung 502 iibereinsdmmen. 
Zusatzlich kann das Datenerfassungsgerat iiber eine geson- 
derte Bestatigungstaste (712) zur Autorisierung der Daten- 
iibermitdung verfiigen. 

45 Bezugszeichen 707 stellt eine Liateneingabemaske, wie 
etwa eine Internet- Webseite oder dergleichen dar, in dessen 
html-Formular der Benutzer Daten eintragen soil. Eine wei- 
tere MogUchkeit ist die Auswahl von Daten aus einem Menii 
(708), etwa durch Zeigen und Auswahlen mittels einer 

50 Computermaus (709). 

Fig. 8 ist ein zur Ausfiihrungsform gemSB Fig. 7 zugeho- 
riges FluBdiagramm. Dieses FluBdiagramm setzt'den Be- 
triebsablauf aus Fig. 6 ab Schritt 603 fort. 

Zur Obermitdung der Daten an den Computer werden 

55 diese mit Hilfe des benuuerspezifischen geheimen Schlus- 
sels verschliisselt, mit einer digitalen Unterschrift versehen 
(802). AnschlieBend erfolgt die Obennitdung (803) an den 
Computer in authentischer Form. Dieser verarbeitet die 
empfangenen Daten weiter (80S), wobei dem Verarbei- 

60 tungsschritt analog zu dem Schritten 607 in Fig. 6 eine Ent- 
schliisselung der Daten (804) vorangeht bzw. eine Ver- 
schliisselung der Daten folgt (806). AnschlieBend werden 
die Daten wieder in authentischer Form an das Datenerfas- 
sungsgerat ubermittelt (807), wo zunachst die Entschliisse- 

65 lung der Daten erfolgt (808). 

AnschlieBend wird der Benutzer aufgefordert, die Ober- 
mittlung der so an das Datenerfassungsgerat ubermittelten 
Daten zu autorisieren (809). Hierzu werden die zu ubermit- 
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telnden Daten auf der Datendarstellungseinrichtung (711) 
dargesielli. 7mt Aulorisierung betatigt der Benutzer entwe- 
der eine separate Bestaiigungstaste (712) oder er betatigt 
eine Taste wie z. B. die "Enter"-Taste einer ublichen Tasta- 
tur. 5 

In einer Ausfuhrungsform verfLigt das Datenerfassungs- 
gerat uber einen Pufferspeicher, der die erfafiten Daten zwi- 
schenspeichert. Bevorzugt werden in den Pufferspeicher Ta- 
statureingabedaten gegeben. Bei einer Anwendung, bei wel- 
cher der Benutzer Daten in eine Eingabemaske eingeben lO 
muB, indem er beispielsweise einen Fomiulareintrag in ei- 
ner html-Webseite vomimmt, werden die so eingegebenen 
und vom Computer in die Eingabemaske eingesetzten Daten 
uber die Verbindung (710) an das Datenerfassungsgerat zu- 
riickubermittelt. Statt diese Daten nun auf dem Bildschirm 15 
darzustellen, konnen die zuruckiibermittelten Daten auch 
unmittelbar mil den im Pufferspeicher zwischengespeicher- 
ten paten verglichen werden. 1st der Vergleich erfolgreich, 
so entspricht dies einer Autorisierung der Ubermittlung 
durch den Benutzer (809). 20 

AnschlieBend werden die Daten im Datenerfassungsgerat 
wieder verschliisselt (810) und in authentischer Darstellung 
an den Computer und von diesem an den anderen Rechner 
iibennittelt (811)" Optional kann wieder eine Oberprufung 
im Hinblick auf etwaige Betriebsstorungen erfolgen. was 25 
zum Abbruch der Ubermittlung und zum Ubergang in die 
Klartext-Betriebsweise des Datenerfassungsgerates (612) 
fuhrt. 

iJomit ist ein Verfahren und eine Vorrichtung zur Erfas- 
sung von Daten und deren Obermitdung in authentischer 30 
Form gefunden worden. Somit kann ein groBtmoglicher Si- 
cherheitsstandard bei der Erfassung von Daten und deren 
UbermitUung gewahrleistet werden. Die iibermittelten Da- 
ten konnen aufgrund des vorteilhaft hohen Sicherheitsstan- 
dards insbesondere als rechtsverbindliche Grundlage fiir die 35 
Tatigung von Geschaften jedwelcher Art oder als authenti- 
scher bzw. glaubwurdiger Nachweis von Dokumenten oder 
Ereignissen, die von den Daten dargestellt werden. 

Um die Erfindung noch umfassender aufzuzeigen, wer- 
den zusatzlich noch folgende zwei Varianten angefuhrt und 40 
ein weiteres konkretes Ausflihrungsbeispiel angegeben: 

1 Einfuhrung 

Elektronische Medien gewinnen gegenwartig zunehmend 45 
eine wesendiche Bedeutung im Rahmen der Informationsre- 
prasentanz und Kommunikation der Menschen. Diese Tech- 
nik zeichnet sich durch groBe Rexibilitat, In formations viel- 
falt, hohe Aklualitat und Geschwindigkeit sowie relativ ein- 
fache Verfiigbarkeit aus. SO 

Aufgrund der Architektur und Implementierung der 
Transportprotokolle werden derzeit offentlich zuganglichen 
Computemetzwerke in der Regel nur zum offenen Informa- 
tionsaustausch genutzt werden. Da sich jeder fiir jeden aus- 
geben kann und die durch die Netze transportierten Daten 55 
sehr einfach durch dritte unrechtmaBig verandert werden 
konnen, bleibt es den Anwendem versagt rechtsverbindliche 
Dokumente auszutauschen. 

Um Geschafte uber das Netz tatigen zu konnen, ist es not- 
wendig iiber eine Technik zu verfugen, mit der die Authen- 60 
tizitat der erfaBten und iibermittelten Daten nachgewiesen 
werden kann. Das bedeutet, daB man in der Lage ist, die 
Herkunft und Unverfalschtheit eines elektronischen Doku- 
ment nachweisen zu konnen. 

65 

2 Gegenstand der zu schutzenden Idee 
Grundidee ist, Daten bei ihrem digitalen Entstehungspro- 



zeB - bei ihrer Erfassung - zu fixieren. Das soil durch Da- 
tenerfassungsgerate (wie z. B. Tastaturen, Scanner, Karien- 
leser von ZugangskontroUsystemen usw.) von Rechnersy- 
stemen bewerkstelligt werden, die durch kryptographische 
Verfahren die Darstellung der Daten derart umwandeln, so 
daB die Authentizitat der erfaBten Daten nachgewiesen wer- 
den kann. Vorteil dieses Ansatzes ist es, daB die Gerate, die 
Daten ubermitteln nicht notwendiger Weise sicher sein miis- 
sen, damit der Nachweis der Authentizitat gefiihrt werden 
kann. Sicher muB das Datenerfassungsgerat und die Verar- 
beilungseinheit sein, auf der Nachweise der Authentizitat 
gefOhrt wird. 

3 Zielsetzung 

Bereitstellung authentischer Daten durch ein Datenerfas- 
sungsgerat. die eindeutig einer Person zugeordnet werden 
konnen. Die. durch das Gerat erfaBte Daten werden durch 
kryptographische Verfahren im Datenerfassungsgerat trans- 
formiert. Die kryptographisch modifizierte Datendarstel- 
lung wird an andere Gerate oder Verarbeitungseinheiten 
weitergegeben. Durch die umgewandelte Darstellung der 
Daten ist es moglich: 

- eine Veranderung an den vom Datenerfassungsgerat 
ubergebenen Daten festzustellen 

- die Daten einer Person und/oder dem Datenerfas- 
sungsgerat eindeutig zuzuordnen. 

4 technische Realisierung 

Das Datenerfassungsgerat z. B. Tastatur besitzt neben den 
technischen Vorrichtungen zum Erfassen der Daten 

1. eine Einheit, um die benutzerspezifischen Daten 
. (Benutzerschlussel) entgegen zu nehmen und optional 

auf ihre RechtmaBigkeit zu priifen z, B. Chipkartenle- 
ser und (optional) Fingerprintscanner. 

2. eine passive oder aktive Verschliisselungseinheit 
(Firmware mit Verschlusselungsalgorithmen oder Ver- 
schlusselungshardware). 

3. optional: eine Weltweit eindeutige Identitat mit ei- 
nem unveranderbaren 2^iteinheitenmesser. 

Die genannten Einheiten konnen miteinander und/oder 
mit dem Datenerfassungsgerat untrennbar oder trennbar ver- 
bunden sein. Fiir groBtmogliche Sicherheit erscheint es je- 
doch sinnvoll alle Kbmponenten untrennbar in einem Ge- 
hause unterzubringen. 

Das Gerat oder die Verarbeitungseinheit, die die Daten 
des Datenerfassungsgerates erhalt besitzt einen speziellen 
Treiber, der 

1, die Daten wieder in eine Klartextdarstellung (verar- 
beitbare Darstellung) zuriicktransformiert, 

2. (optional) einen Datenaustausch mit dem Datener- 
fassungsgerat ermoglicht, durch den eine Assoziierung 
der eingelesenen Daten und Daten von der Verarbei- 
tungseinheit durch die Verschliisselungseinheit ermog- 
licht. 



5 Fun ktions weise (am Beispiel einer Tastatur) 

Der Bediener steckt seine Chipkarte (Trager seines spezi- 
fischen Geheimnisses) in den Karienleser der Tastatur 
(konnte beispielsweise auch nur ein PaBwort eingeben, ist 
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aber rclaliv unsicher). Die Tastatur sendet daraufhin nur 
noch verschlusselle Daten an den Rechner. Der Tastaturtrei- 
ber entschlusselt die erhaltenen Daten und steLlt je nach An- 
forderung die authentische oder Klartext version zur Verfu- 

Bel Anwendungen kann der Bedarf bestehen, Daten von 
Anwendungsprogrammen mit den Benutzereingaben zu as- 
soziieren. Dazu muB die Applikation dem Eingabegerat 
seine Integritat nachweisen. 1st der Beweis erfolgreich, 
ubergibt die Anwendung dem Tastaturtreiber die zu assozi- 
ierenden Daten verschlusselt. Die Daten werden durch den 
Treiber an das Dateneingabegerat weitergeleitet, das durch 
seine Verschlusselungseintieit die Anwendungsdaten rtiit 
den vom ihm erfaBten Daten assoziiert. 1st keine Karte ein- 
gelegt, so funktioniert die Tastatur wie eine gewohnliche. 

5.1 ALlgemeine Funktionsmodie fur Datenerfassungsgerate 



schnittstellen zwischen Mensch und Systemeinheit zuriick- 
zufuhren. Der Erfolg eines Programms hangt nicht nur vom 
Leistungsumfang seiner Funktionen ab, sondem zunehmend 
auch vom Schnitlstellendesign und der Handhabbarkeit. Gut 

5 gestaltete B'enutzeroberflachen zeichnen sich durch intui- 
tive, schnelle und vor allem sichere Bedienbarkeit aus. Dazu 
zahlt insbesondere, daB die Eingabemasken nur sinnvolie 
Eingaben zulassen und den Anwender von Tipparbeit durch 
entsprechende Auswahlangebote entiasten. 

10 Dfer beschriebene Ansatz zum authentischen Austausch 
von Daten uber offene Kommunikations- und Datennetze 
geht davon aus, daB die Daten, deren Authentizitat nach- 
weisbar sein sollen, iiber die entsprechenden sicheren Ein- 
gabegerate erfaBt sein mussen. Es ist dem Anwender also 

15 nicht moglich, bereits verfugbare Daten auszuwahien und 
deren Authentizitat sicherzustellen. Das in diesem Text be- 
schriebene Gerat soli diesen Mangel beseitigen. 



1. Das Gerat liefert nur kryptische Daten wenn ein be- 
nutzerspezifisches Geheimnis vorliegt, sonst normale 20 
Daten. Anwendung bei z. B. Scanner, Tastatur, Karten- 
leser bei Zugangskontrollsystemen (Zeitwirtschaft, 
Objektschutz usw.) 

2. Das Gerat liefert immer kryptische Daten ob ein Be- 
nutzergeheimnis vorliegt oder nicht. Anwendung bei 25 
z. B. Karte nleser bei Zugangskontrollsystemen (Zeit- 
wirtschaft, Objektschutz usw.) 

3. Das Gerat liefert nur Daten (kryptisch oder normal), 
. wenn ein Benutzergeheimnis vorliegt. Sonst versagt es 
den Dienst. Anwendung bei z. B. Scanner, Tastatur. 30 

5.2 Option: Beweis der RechtmaBigkeit der Kartennutzung 

Bei Gebrauch von Chipkarten kann es sinnvoll sein, den 
Besitzer der Karte nachweisen zu lassen, daB er die Karte 35 
rechtmaBig benutzt. Hierzu wird der Benutzer nach dem 
Einlegen der Karten durch ein Signal aufgefordert einen 
oder mehrere Finger auf den Fingerprintscanner zu legen. 
Die Daten der Fingerabdriicke dienen mit den Daten die auf 
der Karte verfugbar sind zu Beweis der RechtmaBigkeit. 40 

6 Unterschiede zu bisherig verfugbaren Systemen 

Die Transformierung der Daten kann nicht dynamisch 
ein- und abgeschaltet werden. Ist das Geheimnis bzw. 45 
RechtmaBige Nutzung des Geheimnisses des Benutzers be- 
wiesen, verlassen das Gerat nur noch authentische Daten. 

Existierende Verfahren verwenden eine dynamische Ein- 
und Ausschaitung der kryptographischen Datendarstellung. 
Befindet sich aber auf der "unsicheren Verarbeitungseinheit" 50 
ein Virus, Wurm oder eine sonstige Manipulation, so besteht 
die prinzipielle Moglichkeit die Darstellungsart zu einem 
Zeitpunkt zu wechseln, zu dem die eigentlichen Nutzdaten - 
deren Authenzitat zu beweisen ist - ungeschutzt (im Klar- 
text) iibertragen werden. Diese konnen dann illegitim veran- 55 
dert werden. Die Veranderung ware nicht Nachweisbar. 
Nach der Anderung wiirde der Angreifer den Tfext mit der 
elekux)nischen Unterschrift des Autors versehen und Autor 
sowie Empfanger wiirden zunachst von der illegalen Beein- 
flussung keine Kenntnis erlangen. Eine weitere Spielart 60 
ware, daB der Angreife die Beschaften Daten als seine eige- 
. nen gegeniiber dem Empfanger ausgeben konnte. 



1 Einfuhrung 

* Die breite Akzeptanz von Computem in der Geschafts- 
wek als auch im privaten Bereich ist mitunter auf die mehr 
Oder minder einheitlichen und leicht bedienbaren Benutzer- 
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2 Gegenstand der zu schutzenden Idee 

Grundidee ist, Daten nicht beim EntstehungsprozeB, son- 
dern bei ihrem KompositionsprozeB zu fixieren. Das bedeu- 
tet, man benotigt ein Gerat, mit dem die Authentizitat von 
Daten festgestellt werden kann und das anschlieBend diese 
Daten in eine Darstellung umwandeltv deren Authentizitat 
durch entsprechende kryptographische Verfahren leicht 
nachgewiesen werden kann. 

Dazu soil eine erweiterte Form eines Bildschirms^oder ei- 
ner Tastatur dienen, der bzw. die die Einrichtungen besitzt, 
wie sie im oben genannten Schriftsatz beschrieben sind, und 
die dariiber hinaus in der Lage ist, bidirektional Nutzdaten 
mit dem angeschlossenen Rechner auszutauschen. AuBer- 
dem existiert ein Weg, mit dem die vom Rechner ubermittel- 
ten Daten sicher auf deren Korrektheit von dem Bildschirm 
bzw. der Tastatur oder dem Anwender iiberpriift werden 
konnen. Sind die Daten authentisch, so werden diese akzep- 
tiert und mit weiteren Eingaben uber die Tastatur oder ande- 
ren authentischen Daten in einer authentisch nachweisbaren 
Darstellung an den Rechner gesandL 

3 Zielsetzung 

Gerat zur Bereits t€?llung authentischer Daten, die eindeu- 
tig einer Person zugeordnet werden konnen. Durch das Ge- 
rat selbst oder mit Hilfe des Gerates kann die Korrektheit 
von Daten, die von einer unsicheren Datenquelle stammen, 
auf Authentizitat gepriift werden. Authentische Daten von 
diesen QueUen konnen mit Daten aus sicheren Datenquellen 
verknupft werden. Die Darstellung der produzierten authen- 
tischen Daten wird durch entsprechende kryptographische 
Verfahren transformiert - so daB deren Authentizitat nach- 
gewiesen werden kann - und verlassen das Gerat nur in die- 
ser Darstellung. Das Gerat verlassen ausschlieBlich Daten, 
die authentisch sind. 

4 Technische Realisierung 

Die Realisierung dieses Gerates ist in drei Varianten vor- 
stellban 

1. erweitertes Bildschirmgerat 

2. erweiterte Tastatur 

3. Kombination aus Bildschirmgerat und Tastatur 

Das Gerat besitzt neben den Baugruppen seiner handels- 
iiblichen Bauformen folgende technische Vorrichtungen: 

- eine Einheit, um benutzerspezifische Daten zur Da- 
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teniransformierung entgegenzunehmen. 

- eine Einheit, um die RechtmaBigkeit der Benutzung 
der benutzerspezifischen Daten zur Daientransformie- 
rung koniroUieren zu konnen. 

- weltweit eineindeutige Identltat mit eihem unveran- 5 
derbaren Zeiieinheitenmesser. 

- optional: ein LCD Display zur direkten Kommuni- 
kation mil dem Anwender. 

- bei der Tastatur: ein Scanner, mit dem bestimmte 
Teile auf dem Bildschirm gescannt werden konnen, lO 

- beim Bildschirmgerat: eine Elektronik, mit welcher 
bestimmte Bildschirmbereiche in digitaler Form darge- 
stcllt werden konnen. 

- eine Einheit, die die vom Rechner erhaltenen Daten 
verifiziert: z. B. spezieller Schalter auf der Tastatur 15 
Oder Vergleichereinheit, die Daten vom Bildschirms- 
canner bzw, von der Bildschirmelektronik mit denen 
vom Rechner vergleicht. 

Die naheliegenste Form der Realisierung scheint der 20 
Bildschirm zu sein, da hier die Daten hier dem Benutzer pra- 
sentiert werden. Man bendtigt nun noch einen Tastaturein- 
gang und einen Tastaturausgang zum Rechner. Die bidirek- 
tionale Kommunikation ist durch das eingehende Videosi- 
gnal und die Daten der Tastatur gegeben. 25 

Die Mischform Tastatur - Bildschirm konnte derart aus- 
gefiihrt sein, daB statt dem expliziten Displayscanner die 
Daten von der Bildschirmelektronik an die Tastatur gesandt 
werden. 

Die Tastaturausfiihrung ist in einer einfachen Form denk- 30 
bar: die vom Rechner erhaltenen Daten werden auf dem 
LCD-Display angezeigt, und der Benutzer kontrolliert diese. 
Befindet er die Daten als korrekt, quittiert er diese durch 
eine entsprechende Tastaturbedienung. 

Eine aufwendigere Form: mit Hiife eines Bildschirmscan- 35 
ners werden die Bildschirmdaten erfaBt und direkt an die Ta- 
statur gesandt, die die Uberpriifung vornimmt. 

5 Punktionsweise 

40 

Die AusFiihrungen werden durch die Authentizitatskon- 
trolle der am Bildschirm ausgewahlten Daten erweitert. Das 
Programm schickt die ausgewahlten Daten zum Gerat, das 
die Bildschirmdarstellung in einem definierten Bereich so 
lange nicht andert, bis es vom Gerat die Daten in authenti- 45 
scher Darstellung zuriick geliefert bekommt. Das Gerat 
scannt den Bildschirm und uberpriift die aus dem Scannvor- 
gang gewonnen Daten mit denen, die es vom Rechner erhal- 
ten hat. Stinmien die Daten uberein, werden diese in ihrer 
Darstellung transformiert und wieder an den Rechner ge- 50 
sandt Fur Daten von sicheren Geraten entfallt dieser Uber- 
priifungsvorgang. 

Konkretes Anwendungsbeispiel flir das ADG (DATENERF, 

GERAT) 55 

Gegenstand der Idee ist es, ein Datenerfassungsgerat zu 
VerfLigung zu haben, das nur authenusche Daten an den 
Rechner liefert. Das Datenerfassungsgerat und die SKIA 
wird als sicher (also vertrauenswiirdig) betrachtet, alles an- 60 
dere als unsicher! 

Um die Authentizitat sicherzustelien sind folgende 
Punkte zu gewahrleisten (bereits bekannte Verfahren): 

- keine Person kann eine Identitat annehmen, die einer 65 
anderen Person zugeordnet ist, 

- die Daten besitzen eine Reprasentanz, die es zulaBt, 
daB ManipuLationen festgestellt werden konnen. 



Anhand eines konkreten Beispiels (Bankkunde, der .eine 
Oberweisung tatigt) soli die Punktionsweise des ADG er- 
klart werden: 

Vorbereitung 

1. Die Bank erzeugt einen privaten und einen oflfentli- 
chen Schlussel fiir einen Kunden, dessen Identitat in 
Form von Merkmalen (Name, Adresse, Geburtsdatum 
usw.) mit diesen Schlusseln bei der Bank assoziiert 
werden. 

2. Der private Schlussel wird auf einer Eurocheque- 
karte mit einem Chip iibertragen. (Dieser Schlussel 
kann erst nach Nachweis der Identitat des Kunden ge- 
lesen werden, z, B. PaBwort, Fingerabdruck, usw. Die- 
ser Nachweis fiir die Identitat kann nicht explizit aus- 
gelesen werden, sondem wird iiber ein sogenanntes 
zero-knowledge Verfahren uberpriift.) 

3. Der Kunde erhalt seine Eurochequekarte. 

Die Bank Ubemimmt die Aufgabe der PaBstelle (SKIA = 
Secure Key Issuing Authority) 

Oberweisung 

1 . Der Kunde steckt seine Eurochequekarte in die Ta- 
statur . 

2. Die Tastatur pruft die Giiltigkeit der Karte 

3» Der Kunde wird durch ein Signal aufgefordert, 
seine rechtmaBige Nutzung der eingelegten Euroche- 
quekarte nachzuweisen, z. B. durch Eingabe eines Pafi- 
wortes, Auflegen eines oder mehrerer Finger auf einen 
in der Tastatur eingebauten Scanner, usw. 

4. Kann die korrekte Idendtat (also die RechtmaBig- 
keit der Karten nutzung) nachgewiesen werden, wird 
der Kryptoeinheit in der Tastatur der geheime SK- 
Schliissel des Kunden zur Verfugung gestellt. AuBer- 
dem erhalt die Tastatur den offendichen PK-Schlussel. 
(Eine noch sicherere Alternative ware, daB der Chip 
auf der Karte die kryptographischen Aufgaben uber- 
nimmt und nur den offentlichen Schlussel an die Tasta- 
tur iibergibt.) 

5. Der offendiche Schlussel wird dem angeschlosse- 
nen Rechner ubergeben, dessen spezieller Tastaturtrei- 
ber die Transformierung der von der Tastatur erhalte- 
nen Daten in die ubliche Darstellung vornimmt, 

6. A lie Daten, die vom Kunden iiber die Tastatur ein- 
gegeben werden, werden zunachst digital in der Tasta- 
tur unterschrieben (public-key Verfahren) und an- 
schlieBend an den Rechner (ibermittelt. Der Tastatur- 
treiber stellt der Anwendungssoftware dieXlartextver- 
sion (mit Hilfe des ihm zur Verfiigung gestellten offent- 
lichen Schlussels) sowie die authentische Version der 
Anwendungssoftware zu Verfiigung. 

7. Bei einer Ubemahme von Daten durch Auswahlop- 
tionen der Software (z. B. Bankleitzahlen, Kontonum- 
mem von bereits getatigten Oberweisungen, usw.) muB 
eine sichere tjberprQfung (wie dargestellt) erfolgen, 
damit die Authentizitat der Daten sichergestellt werden 
kann. 



Patentanspriiche 

1. Datenerfassungsgerat zur Erfassung von Daten und 
deren Ubermittlung in einer authentischen Darstellung, 
welches umfaBt: 
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- eine Datenerfassungseinheit, 

- eine erste IdentifikaLionseinheit, um benutzer- 
spezifische Daten eines Benutzers zu erfassen, 

- eine Datenverschlusselungeinheit, welche die 
Daten in Abhangigkeit von den benutzerspezifi- 5 
schen Daten in die authentische Darstellung trans- 
formiert, und 

- eine Dateniibermiltlungseinheit. 

2. Datenerfassungsgerat nach Anspruch 1, bei dem die 
Datenerfassungseinheit, die erste Ideniifikationsein- to 
heit, die Datenverschliisselungseinheit und die Daten- 
Qbermittlungseinheit eine Einheit bilden, welche Pro- 
grammanweisungen ausfuhrt, die auf einem Festwert- 
speicher (ROM) gespeichert sind. 

3. Datenerfassungsgerat nach Anspruch 1 bder 2, bei 15 
dem die erste Identifikationseinheit ein Gerat zur 
Handhabung von Chipkarten ist. 

4. Datenerfassungsgerat zur Erfassung von Daten Und 
deren Ubermittlung in einer authentischen Darstellung, 
welches umfaBt: 20 

- eine Datenerfassungseinheit, 

- ein Gerat zur Handhabung einer Chipkarte mit 
integriertem Kryptochip, welches die benutzer- 
spezifischen Daten des Benutzers erfaBt und die 

zu ubermittelnden Daten in die authentische Da- 25 
tendarstellung transformiert, und 

- eine Datenubermittlungseinheit. 

5. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspriiche, welche eine Uberpriifungseinheit um- 
faBt, welche die Berechtigung des Benutzers zur Be- 30 
nutzung des Datenerfassungsgerates iiberpruft, wobei 
die Daten wahlweise in einer normalen oder einer au- 
thentischen Darstellung ubernnittelt werden. 

6. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspriiche, bei dem die Datenerfassungseinheit 35 
eine Tastatur umfaBt. 

7. Datenerfassungsgerat nach einem der vorhergehen- 
den Anspriiche, bei dem die Datenerfassungseinheit 
eine Videokamera umfaBt. 

8. Datenerfassungsgerat nach einem der vorhergehen- 40 
den Anspriiche, bei dem die Datenerfassungseinheit ei- 
nen Scanner umfaBt, welcher optische Information von 
einem Dokument oder Standbild erfaBt. 

9. Datenerfassungsgerat nach Anspruch 10, bei dem 
die Datenerfassungseinheit zusatzlich eine optische 45 
Buchstabenerkennung (OCR) durchfiihrt. 

10. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, bei dem die Datenerfassungsein- 
heit und/oder die erste Identifikationseinheit akustische 
Information erfassen kann. 50 

11. Datenerfassungsgerat nach Anspruch 10, bei dem 
die Datenerfassungseinheit und/oder die erste Identifi- 
kationseinheit ein Spracherkennungssystem zur Um- 
wandlung gesprochener Information in Befehle und/ 
Oder alphanumerische &ichen umfaBt. 55 

12. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, welches eine Schnittstelle zur 
Kommunikation mit einem oder mehreren Peripherie- 
geraten umfaBt. 

13. Datenerfassungsgerat nach einem der vorherge- 60 
henden Anspriiche, welches eine zweite Identifikati- 
onseinheit zur Erfassung zweiter Identifikationsdaten 
umfaBt. 

14. Datenerfassungsgerat nach Anspruch 13, bei dem 
die Oberpriifiingseinheil mit Hilfe der ersten und/oder 65 
zweiten Identifikationsdaten die Berechtigung des Be- 
nutzers zur Benutzung des Datenerfassungsgerates 
iiberpriift. 
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15. Datenerfassungsgerat nach einem der Anspriiche 
13 oder 14, bei dem die zweite Identifikationseinheit 
biometrische Daten des Benutzers ermittelt. die von 
korperlichen Merkmalen und/oder Eigenschaften des 
Benutzers abgeleitet werden. 

16. Datenerfassungsgerat nach Anspruch 15, bei dem 
es sich bei der zweiten Identifikationseinheit um einen 
Fingerprintscanner handelt. 

17. Datenerfassungsgerat nach Anspruch 15. bei dem 
es sich bei der zweiten Identifikationseinheit um einen 
Sprachanalysator handelt. 

18. Datenerfassungsgerat nach Anspruch 15. bei dem 
es sich bei der zweiten Identifikationseinheit um einen 
optischen Scanner handelt, der Information von der 
Netzhaut und/oder dem Augenhintergrund des Benut- 
zers erfaBt. 

19. Datenerfassungsgerat nach einem der vorherge- 
hehden Anspriiche, welches eine Daten verarbeitu ngs- 
einheit umfaBt. 

20. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, welches zusatzlich eine Datendar- 
stellungseinrichtung umfaBt. 

21. Datenerfassungsgerat nach Anspruch 20, bei dem 
die Datendarstellungseinrichtung ein LCD-Display ist. 

22. Datenerfassungsgerat nach Anspruch 20, bei dem 
die Datendarstellungseinrichtung ein Touch-Screen ist. 

23. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, welches einen PufFerspeicher auf- 
weist, in dem erfaBte Daten zwischengespeichert wer- 
den. 

24. Datenerfassungsgerat nach einem der vorherge- 
henden Anspriiche, welche eine Daten vergleichsein- 
heit umfaBt. 

25. System zur Erfassung von Daten und deren Ober- 
mittlung in authentischer Form, welches umfaBt: 

- eine Daten verarbeitu ngseinrichtung und 

- ein Datenerfassungsgerat nach einem der An- 
spriiche 1 bis 24, wobei 

- die Datenverarbeitungseinrichtung einen Trei- 
ber zur Ver- und/oder Entschliisselung von Daten 
umfaBt, und 

- die Daten zwischen der Datenverarbeitungsein- 
richtung und dem Datenerfassungsgerat wahl- 
weise in einer unverschliisselten oder nur in der 
authentischen Darstellung iibermittelt werden, 

26. System nach Anspruch 25, wobei die Datenverar- 
beitungseinrichtung einen Festwertspeicher umfaBt, 
der eine authentische Version der Anwendungssoft- 
ware enthalt. 

27. Verfahren zur Erfassung von Daten und deren 
Ubermittlung in einer authentischen Darstellung, niit 
den folgenden Schritten: 

- die Daten werden erfaBt; 

- benutzerspezifische Daten eines Benutzers wer- 
den erfaBt; 

- die Daten werden in Abhangigkeit von den be- 
nutzerspezifischen Daten in die authentische Dar- 
stellung transformiert; und 

- die Daten werden in der authentischen Darstel- 
lung iibermittelt. 

28. Verfahren nach Anspruch 27, bei dem zur Erfas- 
sung der benutzerspezifischen Daten des Benutzers Da- 
ten erfaBt werden, die auf einer Chipkarte gespeichert 
sind. 

29. Verfahren nach Anspruch 27 oder 28, bei dem zur 
Ermittlung der Identiiat des Benutzers Identifikations- 
daten erfaBt werden und iiberpriift wird, ob die benut- 
zerspezifischen Daten und die Identifikationsdaten zu- 
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einander in einer Beziehung stehen, die fur den Benut- 
zer charakteristisch ist. 

30. Verfahren nach Anspruch 29, bei dem die Identifi- 
kationsdaten und/oder benutzerspezifischen Daten al- 
phanumerische 2^ichen sind. 5 

31. Verfahren nach Anspruch 29, bei dem als Identifi- 
kationsdaten biometrische Daten erfaBt werden, die 
von korperlichen Merkmalen und/oder Eigenschaften 
des Benutzers abgeleitet werden. 

32. Verfahren nach einem der Anspriiche 27 bis 3 1 , bei lO 
deni die Daten als optische Information in Form von 
bewegten Bildem oder von Standbildem erfaBt wer- 
den. 

33. Verfahren nach Anspruch 32, bei dem der Informa- 
tionsgehalt der Daten durch elektronisches Fiitem re- 15 
duziert wird. 

34. Verfahren nach einem der Anspriiche 32 oder 33, 
bei dem die Daten aiphanumerische Zeichen darstellen, 
welche mit Hilfe eines optischen Buchstabenerken- 
nungsverfahrens (OCR) aus den erfaBten Daten ermit- 20 
telt werden, 

35. Verfahren nach einem der Anspruche 27 bis 34, bei 
dem zur Erfassung der Daten akustische Daten erfaBt 
werden. 

36. Verfahren nach Anspruch 35, bei dem die Daten 25 
aiphanumerische Zeichen darstellen, welche init Hilfe 
eines Spracherkennungsverfahrens ermittelt werden. 

37. Verfahren nach einem der Anspriiche 27 bis 36, bei 
dem zur Erfassung der Daten aiphanumerische Zeichen 
uber eine Tastatur eingegeben werden: 30 

38. Verfahren nach einem der Anspriiche 27 bis 37, bei 
dem zur Erfassung der Daten eine Meniiauswahl mit 
Hilfe einer Computermaus vorgenommen wird. 

39. Verfahren nach Anspruch 38, bei dem zur Erfas- 
sung der Daten ein Formular auf einem Bildschirm dar- 35 
gestellt wird, in das die Daten iiber eine Tastatur einge- 
geben werden. 

40. Verfahren nach Anspruch 38 oder 39, bei dem die 
erfaBten Daten mit den zu Ubermittelnden Daten vergli- 
chen urid nur nach einem erfolgreichen Vergleich uber- 40 
mittelt werden. 

41 . Verfahren nach einem der Anspriiche 27 bis 40, bei 
dem die zu iibermittelnden Daten auf einer Darstel- 
lungseinrichtung eines Datenerfassungsgerates darge- 
stellt werden und der Benutzer die Ubermittlung der 45 
Daten freigibt. 

42. Verfahren nach einem der Anspriiche 27 bis 41, bei 
dem die Daten zur Transformation in die authentische 
Datendarstellung verschlusselt werden. 

43. Verfahren nach einem der Anspriiche 27 bis 42, bei 50 
dem die Daten mit Hilfe eines asymmetrischen Ver- 
schliisselungsverfahrens verschliisselt werden. 

44. Verfahren nach Anspruch 43, bei dem ein offendi- 
cher Schliissel (public key) zum Verschliisseln der Da- 
ten verwendet wird. 55 

45. Verfahren nach Anspruch 44, bei dem derdffentli- 
che Schliissel auf der Chipkarte gespeichert ist. 

46. Verfahren nach Anspruch 44, bei dem der offentli- 
che Schliissel von einem anderen Computer bereitge- 
stelltwird. 60 

47. Verfahren nach Anspruch 43, bei dem ein sicherer 
Schliissel (secure key) zum Verschliisseln der Daten 
verwendet wird. 

48. Verfahren nach Anspruch 47, bei dem der sichere 
Schliissel auf der Chipkarte gespeichert ist. 65 

49. Verfahren nach einem der Anspriiche 27 bis 48, bei 
dem die elektronischen Daten mit Hilfe eines digitalen 
Signaturverfahrens in die authentische Darstellung 
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transformiert werden. 

50. Verfahren nach einem der Anspruche 27 bis 49, bei 
dem die Daten in authentischer Darstellung von einem 
Datenerfassungsgerat an einen Computer iibermittelt 
werden. 

51. Verfahren nach einem der Anspriiche 27 bis 50, bei 
dem die Daten iiber ein lokales Netzwerk (LAN) an ei- 
nen anderen Rechner ubermittelt werden. 

52. Verfahren nach einem der Anspriiche 27 bis 50, bei 
dem die Daten iiber ein weitraumiges Netzwerk 
(WAN) an einen anderen Rechner iibermittelt werden. 
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